Adresshändler verklagt deutsche Behörde, damit noyb keine Akteneinsicht bekommt
Vor zwei Jahren hat noyb eine Beschwerde gegen den Adresshändler Acxiom und die Kreditauskunftei CRIF in Deutschland eingereicht. Es gibt stichhaltige Beweise dafür, dass ihr umfangreicher Handel mit persönlichen Daten gegen die DSGVO verstößt. Dennoch ist der Fall bis heute bei der zuständigen bayerischen und hessischen Datenschutz-Aufsichtsbehörde anhängig. Im Frühjahr 2023 beantragte noyb deshalb bei der hessischen Behörde Akteneinsicht im Fall Acxiom. Der Adresshändler reagierte prompt – und zwar mit einem Antrag auf Erlassung einer einstweiligen Anordnung gegen die Behörde, um jede Art von Akteneinsicht zu verhindern.
Hintergrund: heimlicher und illegaler Handel mit personenbezogenen Daten. Die Kreditauskunftei CRIF kauft unaufhörlich Namen, Geburtsdaten und Adressen von Millionen Deutschen beim Adresshändler Acxiom. Obwohl die Daten ursprünglich für Marketingzwecke von Acxioms Kunden erhoben wurden, nutzt CRIF sie zur Beurteilung der Kreditwürdigkeit. All das geschieht in der Regel ohne eine Einwilligung der Betroffenen. Diese werden nicht einmal über die Verarbeitung ihrer Daten informiert – was gleich mehrfach gegen europäisches Datenschutzrecht verstoßen dürfte.
Keine Benachrichtigung oder Einwilligung. Gemäß den DSGVO-Grundsätzen der Zweckbindung und Rechtmäßigkeit dürfen Daten, die für Marketingzwecke erhoben wurden, nur mit Einwilligung für ein Kredit-Scoring verwendet werden (also um die Wahrscheinlichkeiten eines Zahlungsausfalls zu prognostizieren). Für Acxiom und CRIF sollte das keine Neuigkeit sein: Laut der deutschen Datenschutzkonferenz, hinter der die Aufsichtsbehörden stehen, dürfen Daten, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, nur mit Einwilligung für Kredit-Scoring genutzt werden. CRIF und Acxiom unterlassen es kategorisch, derartige Einwilligungen einzuholen. Damit nicht genug: Betroffene werden noch nicht einmal darüber informiert, dass Acxiom ihre Daten an CRIF verschachert hat. Der von noyb vertretene Beschwerdeführer erfuhr z.B. erst mittels eines Auskunftsbegehrens von der unrechtmäßigen Verarbeitung seiner Daten.
Marco Blocher, Datenschutzjurist bei noyb: „Die Kreditwürdigkeit von Millionen Menschen heimlich und mithilfe von Daten eines Adresshändlers zu berechnen ist geradezu ein Paradebeispiel für unrechtmäßige Datenverarbeitung unter der DSGVO: Die Verarbeitung erfolgt im Geheimen, zieht eine unrechtmäßige Änderung des Verarbeitungszwecks nach sich – und ihr fehlt schlichtweg die Rechtsgrundlage.“
Zwei Jahre Stillstand. Die Verstöße gegen europäisches Datenschutzrecht sind kaum von der Hand zu weisen. Dennoch ist der Fall bis heute bei der hessischen (zuständig für Acxiom) und bayerischen (zuständig für CRIF) Datenschutzbehörde anhängig. Um sich ein Bild vom aktuellen Stand der Dinge zu machen, hat noyb deshalb Akteneinsicht bei der hessischen Behörde beantragt (Bayern gewährt dieses Recht nicht, was ein Problem für sich ist). Die hessische Datenschutzbehörde schien bereit, die beantragte Einsicht zu gewähren und hörte Acxiom in dieser Angelegenheit an – woraufhin die Behörde prompt verklagt wurde. Der Adresshändler versucht, eine einstweilige Anordnung vor Gericht zu erwirken, um dem Beschwerdeführer jeglichen Zugang zu den Akten zu verwehren, während das Unternehmen selbst Akteneinsicht beantragte und auch erhielt.
Verfahrensverzögerung. Zwar bestehen einige wenige Ausnahmen vom Recht auf Akteneinsicht, z.B. bei Geschäftsgeheimnissen. Eine Rechtsgrundlage für den Verschluss der gesamten Verwaltungsakte existiert jedoch nicht. Acxiom dürfte sich dieser Tatsache bewusst sein. In Wirklichkeit scheint das Unternehmen durch die Schaffung eines verfahrensrechtlichen Nebenschauplatzes zu versuchen, eine Entscheidung der hessischen Datenschutzbehörde zu verzögern. Das ermöglicht Acxiom, den unrechtmäßigen Verkauf personenbezogener Daten fortzusetzen.
Eine SLAPP-ähnliche Maßnahme. Acxioms Verbotsantrag scheint damit dem Konzept sogenannter „SLAPPs“ („Strategic Lawsuits Against Public Participation“) zu folgen, welche die EU unter Strafe stellen möchte. Durch die Einreichung missbräuchlicher Anträge in Kombination mit den abschreckenden Kosten und der Komplexität von Gerichtsverfahren, sowie der häufigen Überlastung der Gerichte, sollen Einzelpersonen und NGOs wie noyb davon abgehalten werden, Unternehmen zur Verantwortung zu ziehen.
Jonas Breyer, deutscher Rechtsanwalt, der den Beschwerdeführer und noyb vor dem Verwaltungsgericht Wiesbaden vertritt: „Unternehmen versuchen immer wieder, die Durchsetzung von Datenschutzrechten zu verschleppen, um unsaubere, aber lukrative Geschäftsmodelle künstlich am Leben zu erhalten. Es spricht für sich, wenn Axciom ein Gerichtsverfahren anstrengt und dabei beispielsweise ihre AGB aus dem Jahr 2008 und weitere veraltete Dokumente als Geschäftsgeheimnisse bezeichnet.“
Missbrauch des Rechtssystems. Der Fall Acxiom zeigt einmal mehr, dass manche Unternehmen selbst nach fünf Jahren DSGVO der Meinung sind, man könne das Rechtssystem missbrauchen, um an rechtswidrigen Geschäftsmodellen zu Lasten von Verbraucher:innen festzuhalten. Das ist inakzeptabel, vor allem für ein Unternehmen, das die Daten von Millionen von Menschen verwaltet und mit internationalen Kunden wie Meta, Adobe, Google, IBM und PayPal zusammenarbeitet. noyb wird nicht nachgeben und ist bereit, weitere Beschwerden einzureichen oder Unternehmen wie Acxiom auf Unterlassung und Schadensersatz auf Basis der neuen Verbandsklagenrichtlinie zu verklagen.
